Falhas Críticas de Segurança Expostas no Software de Monitoramento de Rede Nagios XI
21 de Setembro de 2023

Várias falhas de segurança foram divulgadas no software de monitoramento de rede Nagios XI, que podem resultar em escalonamento de privilégios e divulgação de informações.

As quatro vulnerabilidades de segurança, rastreadas de CVE-2023-40931 a CVE-2023-40934 , impactam as versões 5.11.1 e inferiores do Nagios XI.

Após a divulgação responsável em 4 de agosto de 2023, elas foram corrigidas em 11 de setembro de 2023, com o lançamento da versão 5.11.2.

"Três dessas vulnerabilidades ( CVE-2023-40931 , CVE-2023-40933 e CVE-2023-40934 ) permitem que usuários, com vários níveis de privilégios, acessem campos de banco de dados via Injeções SQL", disse a pesquisadora da Outpost24, Astrid Tedenbrant.

"Os dados obtidos dessas vulnerabilidades podem ser usados para escalar ainda mais os privilégios no produto e obter dados sensíveis do usuário, como hashes de senha e tokens de API."

CVE-2023-40932 , por outro lado, refere-se a um defeito de script entre sites (XSS) no componente Custom Logo que pode ser usado para ler dados sensíveis, incluindo senhas em texto simples da página de login.

A lista de falhas é descrita abaixo -

CVE-2023-40931 - Injeção SQL no ponto de reconhecimento de Banner

CVE-2023-40932 - Script entre sites no componente Logo Personalizado

CVE-2023-40933 - Injeção SQL nas Configurações de Banner de Anúncio

CVE-2023-40934 - Injeção SQL na Escalação de Host/Serviço no Gerente de Configuração Central (CCM)

A exploração bem-sucedida das três vulnerabilidades de injeção SQL poderia permitir a um atacante autenticado a executar comandos SQL arbitrários, enquanto o bug XSS poderia ser explorado para injetar JavaScript arbitrário e ler e modificar dados da página.

Esta não é a primeira vez que problemas de segurança são descobertos no Nagios XI.

Em 2021, a Skylight Cyber e a Claroty descobriram até duas dúzias de falhas que poderiam ser abusadas para sequestrar a infraestrutura e realizar execução remota de código.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...